通过

在 Windows Server 2012 R2 上配置对 AD FS 的 Extranet 访问权限

  • 项目

适用于:Azure、Office 365、Power BI、Windows Intune

本主题介绍如何连同 Web 应用程序代理角色服务一起安装远程访问角色,以及如何配置 Web 应用程序代理服务器以连接到 Active Directory 联合身份验证服务 (AD FS) 服务器。

2.2. 安装远程访问角色

若要部署 Web 应用程序代理,必须在充当 Web 应用程序代理服务器的服务器上连同 Web 应用程序代理角色服务一起安装远程访问角色。

针对你要部署为 Web 应用程序代理服务器的所有服务器重复此过程。

通过用户界面安装 Web 应用程序代理角色服务

  1. 在 Web 应用程序代理服务器上,在服务器管理器控制台中的“仪表板”内单击“添加角色和功能”

  2. 在“添加角色和功能向导”中,单击“下一步”三次以转到服务器角色选择屏幕。

  3. 在“选择服务器角色”对话框中选择“远程访问”,然后单击“下一步”

  4. 单击“下一步”两次。

  5. “选择角色服务”对话框中选择“Web 应用程序代理”下,单击“添加功能”,然后单击“下一步”

  6. 在“确认安装选择”对话框中,单击“安装”

  7. 在“安装进度”对话框中,验证安装是否成功,然后单击“关闭”

通过 Windows PowerShel 安装 Web 应用程序代理角色服务

  1. 下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

    下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. 配置 Web 应用程序代理

只有配置了 Web 应用程序代理才能连接到 AD FS 服务器。

针对你要部署为 Web 应用程序代理服务器的所有服务器重复此过程。

通过用户界面配置 Web 应用程序代理

  1. 在 Web 应用程序代理 服务器上,打开远程访问管理控制台: RAMgmtUI.exe,然后按 Enter。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在导航窗格中,单击“Web 应用程序代理”

  3. 在远程访问管理控制台的中间窗格中,单击“运行 Web 应用程序代理配置向导”

  4. “Web 应用程序代理配置向导”“欢迎”对话框中,单击“下一步”

  5. 在“联合服务器”对话框中执行以下操作,然后单击“下一步”

    • “联合身份验证服务名称”框中,输入 AD FS 服务器的完全限定域名 (FQDN),例如 fs.fabrikam.com。

    • “用户名”“密码”框中,输入 AD FS 服务器上的本地管理员帐户的凭据。

  6. “AD FS 代理证书”对话框中,从 Web 应用程序代理服务器上当前安装的证书列表内,选择 Web 应用程序代理用于实现 AD FS 代理功能的证书,然后单击“下一步”

    在此处选择的证书应该是使用者为联合身份验证服务名称(例如 fs.fabrikam.com)的证书。

  7. 在“确认”对话框中复查设置。 如果需要,你可以复制 PowerShell cmdlet 以自动完成其他安装。 单击 “配置”

  8. 在“结果”对话框中确认配置是否已成功,然后单击“关闭”

通过 Windows PowerShell 配置 Web 应用程序代理

  1. 下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

    以下命令将提示你输入 AD FS 服务器上的本地管理员帐户的凭据。

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

优化 Web 应用程序代理与 AD FS 服务器之间的拥塞控制设置 - 可选步骤

如果 Web 应用程序代理与联合服务器之间的延迟超出了特定的阈值,面向 Extranet 的 Web 应用程序代理能够限制来自 Extranet 的请求。 基于此功能,如果联合服务器过载(根据在 Web 应用程序代理与联合服务器之间检测到的延迟来判断),从而无法为外部客户端身份验证请求提供服务,则 Web 应用程序代理将拒绝这些请求。 此功能与 TCP 中的拥塞控制所用的某个类似算法(和式增加积式减少 (AIMD))密切相关。 该解决方案的工作方式是使用一个拥塞窗口,该窗口以租赁给 Web 应用程序代理的每个传入请求的令牌池表示。

在高延迟外围网络或者高负载 Web 应用程序代理中,可以拒绝身份验证请求,即使联合服务器能够根据控制此算法的默认设置成功满足这些请求。 在这种环境中,我们强烈建议通过执行以下步骤来修改设置,以降低其主动性。

  1. 在 Web 应用程序代理计算机上,启动一个提升的命令窗口。

  2. 导航到 ADFS 目录,位于 %WINDIR%\adfs\config

  3. 将拥塞控制设置从默认值更改为 “<congestionControl latencyThresholdInMSec=”8000“ minCongestionWindowSize=”64“ enabled=”true“ />'

  4. 保存并关闭该文件。

  5. 通过运行 “net stop adfssrv”“net start adfssrv”来重启 AD FS 服务。

后续步骤

验证是否已配置 Web 应用程序代理计算机,下一步是安装 Windows PowerShell 以使用 AD FS 进行单一登录

另请参阅

概念

准备网络基础结构以配置 Extranet 访问
清单:使用 AD FS 实现和管理单一登录